购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

2.4 自定义密码破解字典

在Kali Linux中,有很多工具可以创建自定义字典用于离线密码破解。我们现在就来了解一下其中的几个。

2.4.1 使用CeWL绘制网站地图

CeWL是一个Ruby应用程序,它对给定URL进行指定深度的爬取,也可以选择跟踪外部链接,并返回一个字典列表用于密码破解,如John the Ripper。图2.20展示了从谷歌索引页面生成自定义字典。

图2.20 使用CeWL从网页生产自定义密码字典

有时这些从网页中提取的文本包括开发人员留下的HTML注释,这对于执行更有效的攻击行动非常有用。

2.4.2 使用twofi从Twitter提取字典

虽然我们可以利用Facebook、Twitter和LinkedIn等社交媒体平台对用户进行分析,但也可以使用twofi获取Twitter兴趣词。这个工具使用Ruby脚本编写,利用Twitter API生成可用于离线密码破解的自定义字典。在Kali Linux中twofi没有默认安装,所以必须在终端运行sudo apt install twofi命令进行安装。

使用twofi必须拥有有效的Twitter API密钥和API密码,并确保你在配置文件/etc/twofi/twofi.yml中输入这些详细信息。图2.21展示了如何在被动侦察中利用twofi来创建自定义密码字典。在接下来的例子中,我们运行twofi-m 6-u@PacktPub>filename命令,这将生成一个由PacktPub发布的Twitter自定义字典列表。

图2.21 使用twofi为packtpub.com创建字典列表

以个人为攻击目标时twofi很强大。例如,为Twitter高频用户创建一个密码字典表并用于破解其他平台的密码非常容易,如微软365或其他社交媒体平台。 7JNglsSo/vDuNgbVD18fiiRV9pOY1FyX6qKkMEpIaHEAk2DmiAbNh3UNDfdrBFwD

点击中间区域
呼出菜单
上一章
目录
下一章
×